Protokollieren AWS Lake Formation Formation-API-Aufrufen mit AWS CloudTrail - AWS Lake Formation
Informationen Lake Formation in CloudTrailEreignisse rund um die Lake Formation verstehen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Protokollieren AWS Lake Formation Formation-API-Aufrufen mit AWS CloudTrail

AWS Lake Formation ist in einen Dienst integriert AWS CloudTrail, der eine Aufzeichnung der Aktionen bereitstellt, die von einem Benutzer, einer Rolle oder einem AWS Dienst in Lake Formation ausgeführt wurden. CloudTrail erfasst alle Lake Formation API-Aufrufe als Ereignisse. Zu den erfassten Aufrufen gehören Aufrufe von der Lake Formation Formation-Konsole AWS Command Line Interface, die und Code-Aufrufe der Lake Formation Formation-API-Aktionen. Wenn Sie einen Trail erstellen, können Sie die kontinuierliche Bereitstellung von CloudTrail Ereignissen an einen Amazon S3 S3-Bucket aktivieren, einschließlich Ereignissen für Lake Formation. Wenn Sie keinen Trail konfigurieren, können Sie die neuesten Ereignisse trotzdem in der CloudTrail Konsole im Ereignisverlauf anzeigen. Anhand der von gesammelten Informationen können Sie die Anfrage CloudTrail, die an Lake Formation gestellt wurde, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Details ermitteln.

Weitere Informationen CloudTrail dazu finden Sie im AWS CloudTrail Benutzerhandbuch.

Informationen Lake Formation in CloudTrail

CloudTrail ist standardmäßig aktiviert, wenn Sie ein neues AWS Konto erstellen. Wenn in Lake Formation eine Aktivität auftritt, wird diese Aktivität zusammen mit anderen CloudTrail AWS Serviceereignissen in der Ereignishistorie als Ereignis aufgezeichnet. Ein Ereignis stellt eine einzelne Anfrage aus einer beliebigen Quelle dar und enthält unter anderem Informationen über die angeforderte Aktion, das Datum und die Uhrzeit der Aktion sowie über die Anfrageparameter. Darüber hinaus enthält jedes Ereignis oder jeder Protokolleintrag Informationen darüber, wer die Anfrage generiert hat. Die Identitätsinformationen unterstützen Sie bei der Ermittlung der folgenden Punkte:

  • Ob die Anfrage mit Root- oder AWS Identity and Access Management (IAM-) Benutzeranmeldedaten gestellt wurde.

  • Gibt an, ob die Anforderung mit temporären Sicherheitsanmeldeinformationen für eine Rolle oder einen Verbundbenutzer gesendet wurde.

  • Ob die Anfrage von einem anderen AWS Dienst gestellt wurde.

Weitere Informationen finden Sie unter dem CloudTrail UserIdentity-Element.

Sie können aktuelle Ereignisse für Ihr Konto ansehen, suchen und herunterladen. AWS Weitere Informationen finden Sie unter Ereignisse mit dem CloudTrail Ereignisverlauf anzeigen.

Für eine fortlaufende Aufzeichnung der Ereignisse in Ihrem AWS Konto, einschließlich der Ereignisse für Lake Formation, erstellen Sie einen Trail. Ein Trail ermöglicht CloudTrail die Übermittlung von Protokolldateien an einen Amazon S3 S3-Bucket. Standardmäßig gilt ein in der Konsole erstellter Trail für alle AWS -Regionen. Der Trail protokolliert Ereignisse aus allen Regionen der AWS Partition und übermittelt die Protokolldateien an den von Ihnen angegebenen Amazon S3 S3-Bucket. Darüber hinaus können Sie weitere AWS Dienste konfigurieren, z. B. Amazon Athena um die in den CloudTrail Protokollen gesammelten Ereignisdaten weiter zu analysieren und darauf zu reagieren. CloudTrail kann auch Protokolldateien an Amazon CloudWatch Logs and CloudWatch Events liefern.

Weitere Informationen finden Sie hier:

Ereignisse rund um die Lake Formation verstehen

Alle Lake Formation API-Aktionen werden vom Developer Guide protokolliert CloudTrail und sind im AWS Lake Formation Developer Guide dokumentiert. Beispielsweise generieren Aufrufe der RevokePermissions Aktionen PutDataLakeSettingsGrantPermissions, und Einträge in den CloudTrail Protokolldateien.

Das folgende Beispiel zeigt ein CloudTrail Ereignis für die GrantPermissions Aktion. Der Eintrag enthält den Benutzer, der die Berechtigung erteilt hat (datalake_admin), den Prinzipal, dem die Berechtigung erteilt wurde (datalake_user1), und die erteilte Berechtigung (CREATE_TABLE). Der Eintrag zeigt auch, dass die Erteilung fehlgeschlagen ist, weil die Zieldatenbank im resource Argument nicht angegeben wurde.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDAZKE67KM3P775X74U2",
        "arn": "arn:aws:iam::111122223333:user/datalake_admin",
        "accountId": "111122223333",
        "accessKeyId": "...",
        "userName": "datalake_admin"
    },
    "eventTime": "2021-02-06T00:43:21Z",
    "eventSource": "lakeformation.amazonaws.com",
    "eventName": "GrantPermissions",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "72.21.198.65",
    "userAgent": "aws-cli/1.19.0 Python/3.6.12 Linux/4.9.230-0.1.ac.223.84.332.metal1.x86_64 botocore/1.20.0",
    "errorCode": "InvalidInputException",
    "errorMessage": "Resource must have one of the have either the catalog, table or database field populated.",
    "requestParameters": {
        "principal": {
            "dataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"
        },
        "resource": {},
        "permissions": [
            "CREATE_TABLE"
        ]
    },
    "responseElements": null,
    "requestID": "b85e863f-e75d-4fc0-9ff0-97f943f706e7",
    "eventID": "8d2ccef0-55f3-42d3-9ede-3a6faedaa5c1",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333"
}

Das nächste Beispiel zeigt einen CloudTrail Protokolleintrag für die GetDataAccess Aktion. Prinzipale rufen diese API nicht direkt auf. Wird vielmehr protokolliert, GetDataAccess wenn ein Principal oder ein integrierter AWS Dienst temporäre Anmeldeinformationen für den Zugriff auf Daten an einem Data Lake-Standort anfordert, der bei Lake Formation registriert ist.

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AWSAccount",
        "principalId": "AROAQGFTBBBGOBWV2EMZA:GlueJobRunnerSession",
        "accountId": "111122223333"
    },
    "eventSource": "lakeformation.amazonaws.com",
    "eventName": "GetDataAccess",
...
...
    "additionalEventData": {
        "requesterService": "GLUE_JOB",
        "lakeFormationPrincipal": "arn:aws:iam::111122223333:role/ETL-Glue-Role",
        "lakeFormationRoleSessionName": "AWSLF-00-GL-111122223333-G13T0Rmng2"
    },
...
}
Weitere Informationen finden Sie unter: